Security Awareness. Повышаем осведомленность в области ИБ

Дата: 08.09.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Security Awareness. Повышаем осведомленность в области ИБ

Информационная безопасность и осведомлённость о ней играют одну из наиболее важных ролей в сфере выживания современного бизнеса, где организации различных отраслей деятельности сталкиваются с растущим количеством кибератак. Для противодействия злоумышленникам компании выполняют требования регуляторов, выстраивают ИБ-процессы, внедряют средства защиты информации, проводят оценку защищенности информационных систем и многое другое.

Но без реализации на местах культуры Security Awareness даже самые дорогие и функциональные средства защиты информации не смогут полноценно защитить внутренние информационные системы организации.

Чаще всего именно сотрудники рассматриваются в качестве «слабых звеньев» ИБ-экспертами, что принято называть «человеческим фактором».

Редакция CISOCLUB поговорила с экспертами ИБ-отрасли о Security Awareness (SA). Мы расспросили их об актуальных киберугрозах, о пресловутом «человеческом факторе», о росте спроса на услуги по повышению осведомленности по вопросам ИБ, об особенностях применения SA на практике.

На вопросы CISOCLUB ответили:

  • Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness.
  • Сергей Золотухин, специалист Group-IB по информационной безопасности.
  • Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft.
  • Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.
  • Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT.
  • Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет».

С какими угрозами сталкиваются компании в 2022 году?

Сергей Золотухин, специалист Group-IB по информационной безопасности:

Security Awareness. Повышаем осведомленность в области ИБ
Сергей Золотухин, специалист Group-IB по информационной безопасности

«В текущем году мы фиксировали значительный рост кибератак на инфраструктуру российских компаний, в том числе объектов КИИ и финансовый сектор. Речь шла как о серьезных и тщательно спланированных атаках со стороны прогосударственных хакеров — APT, так и о DDoS, дефейсах и сливах данных, за которыми стояли различные группы хактивистов. Цель всех этих действий заключалась в том, чтобы нанести как можно больший ущерб российским компаниям.

В условиях геополитической нестабильности растет доля киберкриминала — активизируются преступники, для которых важная финансовая мотивация.  Несколько лет подряд киберугрозой #1 для бизнеса являются атаки программ-вымогателей (Ransomware). По данным из отчета Group-IB «Программы-вымогатели 2021-2022», количество таких атак выросло в текущем году в четыре раза. 

Объединяет эти типы атак то, что в большинстве случаев для проникновения в сеть компании или предприятия используется человеческий фактор. Недостаточное внимание сотрудников и служб информационной безопасности к настройкам и использованию удаленного доступа (RDP) стало причиной первичного проникновения в 47% случаев, фишинг и социальная инженерия – еще в 26%. Эксплуатацию публичных приложений тоже можно отнести к «человеческому фактору»: в большинстве случаев проникновение происходит через известные, но не закрытые уязвимости. Эти цифры наглядно показывают, насколько важен SA – для обычных пользователей и тем более для админов, обладающих повышенными правами и являющихся особенно привлекательной целью для злоумышленников».

Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»:

Security Awareness. Повышаем осведомленность в области ИБ
Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»

«В текущем году даже те, кто имел выстроенную систему обучения сотрудников требованиям ИБ, оказались под сильным давлением. Изменение геополитической и геоэкономической ситуации привело к росту практически всех видов атак. Согласно отчетам ENISA, Positive Technologies и CrowdStrike Global Security Attitude Survey, доля Supply Chain атак увеличилась на 430%, фишинговых и спам-рассылок — на 163%. За ними уверенно следуют DDoS-атаки и криптомайнинг — их рост составляет 150% и 117% соответственно. При этом «чистое» распространение вредоносного ПО снизилось в пять раз.

Цифры не лгут — атаки на человека сейчас актуальны как никогда. И  если вы откладывали внедрение процесса повышения осведомленности, самое время его начать. Уверенность в том, что защитить ценные данные можно только с помощью SOC, SIEM и DLP, способна привести к серьезным последствиям. Финансовые потери, операционные сбои, утрата партнеров и клиентов и, как следствие, ухудшение делового имиджа могут стать фатальными для бизнеса».

Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft:

«Фишинг – самый распространённый тип атак, а Security Awareness непосредственно работает на упреждение такого рода угроз».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«В числе критичных угроз — утечка конфиденциальной информации, которая может привести к потери выручки или даже бизнеса, заражение вредоносом, например, шифровальщиком с необходимость оплаты выкупа и пр.

Также отсутствие киберграмотности у сотрудников приводит к большому количеству ИБ-инцидентов и запросов на ИТ-поддержку, которые ежедневно нагружают ИБ и ИТ-отдел».

Почему люди всегда «слабое звено»?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

Security Awareness. Повышаем осведомленность в области ИБ
Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness

«Люди могут быть как первой линией обороны, так и слабым звеном. Все зависит от того, насколько в компании уделяется внимание вопросам кибергигиены и цифровой грамотности.

Представьте, сотрудники, которые получают до 30 внешних писем в день, тратят на разбор «мусорной» почты около пяти часов в год. Те, кому приходит от 30 до 60 входящих ежедневно, теряют на этом до 11 часов в год, а те, кому от 60 до 100 писем, — больше двух рабочих дней. Если это безобидный спам, то человек может просто утомиться и из-за этого стать менее бдительным. А если это письмо содержит еще и вредоносную ссылку, человек может «на автомате» перейти по ней. Зато не устают и не теряют бдительность защитные решения, которые стоит устанавливать на рабочие устройства сотрудников. Но и они не гарантируют стопроцентную защиту от кибератак, ведь злоумышленники всё время совершенствуют свои методы и часто прибегают к социальной инженерии, то есть используют в коммуникации человеческие слабости или информацию, которая также может быть очень правдоподобной.

Во многих организациях уже понимают необходимость в обеспечении минимальных средств ИБ-защиты, например антивирусах. Однако этого недостаточно. Хакерам гораздо проще использовать пробелы в знаниях и невнимательность людей, чем взламывать сложные технические решения. Поэтому очень важно повышать уровень цифровой грамотности среди сотрудников, объяснять, какие есть угрозы, что нужно делать, чтобы их распознать и избежать. Важно помогать им вырабатывать правильные кибербезопасные привычки, а не запрещать использование тех или иных ресурсов без объяснений или выращивать паранойю, которая будет лишь мешать эффективной работе или приведет к тому, что люди будут искать «лазейки» для обхода запретов».

Сергей Золотухин, специалист Group-IB по информационной безопасности:

«К сожалению, за расхожим выражением, превратившимся в заезженный литературный штамп, ускользает суть: разработка и применение сложных инструментов для атаки требует ресурсов, квалификации и опыта. Злоумышленникам гораздо проще сыграть на человеческих слабостях, использовать то, что любой человек устает и теряет внимательность, готов оказать помощь ближнему, не прочь выиграть в лотерею и т.д.

Оставив психологические аспекты проблемы специалистам соответствующих областей знаний, отмечу: снижение «порога входа» в киберкриминал приводит к численному росту низкоквалифицированных злоумышленников и, соответственно, к росту количества атак через человека.  Но не стоит успокаивать себя низкой квалификацией атакующих. Современный тренд развития киберпреступного сообщества – это активное распространение «партнерок».

Злоумышленники разных специализаций кооперируются, используя своеобразное разделение труда. Низкоквалифицированные “охотники” за первоначальным доступом получают доступ в сеть, разработчики инструментов для развития атаки закрепляются в сети и получают доступ к данным, операторы программ-шифровальщиков осуществляют финальную стадию атаки – шифрование данных и вымогательство. Таким образом, при сложившемся ландшафте угроз и невозможности отказаться от «слабого звена» именно Security Awareness является тем инструментом, который снижает риски первичного проникновения и реализации худших сценариев».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

Security Awareness. Повышаем осведомленность в области ИБ
Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft

«Можно поставить самые лучшие средства защиты, эшелонированную защиту, два контура безопасности, продумать все детали, но условный менеджер продиктует злоумышленнику пароль по телефону и SMS для двухфакторной аутентификации.

Просто потому, что его назвали по имени-отчеству. Или использует одинаковый пароль ко всем сервисам дома и на работе. И если на работе он защищен, то дома никто не запретит ему переходить по ссылкам и открывать вложения в письмах. Сейчас собрать данные из открытых источников стоит копейки, весь процесс занимает часы или даже минуты».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

Security Awareness. Повышаем осведомленность в области ИБ
Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT

«По разным аналитическим данным, включая наши результаты пентестов, до 80% сотрудников компаний уязвимы к фишинговым атакам. Основные причины – автоматизм в действиях людей, либо реальная нехватка навыков для того, чтобы распознать атаку. 

Чаще всего, компании обращаются за профессиональной помощью уже после инцидентов. Например, руководитель ИБ-отдела промышленной компании почувствовал потребность во внедрении системы Security Awareness после реальных фишинговых атак, в которых более 60% сотрудников «попались на крючок». Перед внедрением системы мы делали тестовую рассылку будто бы от отдела HR, и интересно, что по ссылке перешел даже руководитель IT-отдела, хотя по домену можно было понять, что письмо фишинговое. Этот случай показывает, что даже сотрудник с высоким уровнем технической грамотности, доступа и привилегиями может совершать ошибки».

Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»:

«Человек — не машина. С одной стороны, злоумышленнику легче обмануть сотрудника компании, чем взламывать средства защиты информации или искать уязвимости в корпоративной инфраструктуре. Кроме того, делать ставку на людей дешевле: не нужно тратиться на технический инструментарий.

С другой стороны, сотрудник сам может ошибиться. Нельзя заложить в него какой-то алгоритм и быть уверенным, что он будет придерживаться его в любой ситуации.

Допустим, в вашей компании есть все необходимые документы: политика ИБ, регламенты и методики, посвященные правилам обработки конфиденциальной информации, инструкции по безопасной эксплуатации информационных систем. Если вы не проводите регулярное обучение сотрудников и не отслеживаете его эффективность, с этими бумагами ознакомятся один раз, для галочки, и забудут о них. Если обучение проводится, сотрудники все равно могут совершить ошибку. Усталость, плохое самочувствие, неприятности в личной жизни — все это влияет на внимательность человека точно так же, как настройки влияют на эффективность СЗИ. Нельзя забывать и о том, что сотрудники далеко не всегда уведомляют ИБ-специалистов о допущенных промахах: кто-то боится наказания, кто-то надеется «на авось». И если машина в большинстве случаев подает сигнал о сбое, с человеком все сложнее».

Спрос на SA растет? Как? Почему?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

«Спрос на тренинги по повышению уровня цифровой грамотности стабильно растет уже несколько лет. И, по прогнозам аналитиков, будет продолжать расти и дальше. Этот спрос в первую очередь обусловлен тем, что человеческий фактор более чем в 80% случаев является причиной киберинцидентов. А более 50% компаний считают сотрудников основной угрозой корпоративной кибербезопасности.

Кроме того, многие компании, пытаясь обучать сотрудников кибербезопасности в таком же формате, как, например, тренинги по пожарной безопасности, смогли убедиться, что это не приводит к желаемому результату. Ведь часто обучение основам кибербезопасного поведения в данном случае сводится к краткому инструктажу при приеме на работу. Делать же обучающую платформу своими силами и дорого, и сложно.

Поэтому оптимальный вариант — обратиться к проверенному поставщику, чье решение доказало свою эффективность, обладает наградами, получило высокую оценку от экспертов и множество положительных отзывов от клиентов».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«Да, спрос растет. Хотя и довольно плавно. Основная причина – желание снизить влияние человеческого фактора внутри организаций. В конце мая этого года мы проводили мероприятие на тему сокращения рисков от действий сотрудников. В ходе опроса 50% проголосовавших участников признали, что более 70% киберинцидентов у них в организации произошли именно по вине сотрудников. И только у 18% влияние человеческого фактора было меньше 30%.

В этом году спрос также подогрели геополитические события, например, это привело к оттоку ИТ-специалистов, часть из которых продолжали работать на российские организации из других стран. При этом выстроенные в «ковидный период» системы защиты удаленных подключений, построенные на иностранных решениях, перестали быть столь же надежными после приостановки деятельности иностранных вендоров в РФ и отключения обновлений».

Почему множество экспертов говорят про SA, но на практике его мало применяют?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

«Руководители и топ-менеджеры компаний могут не придавать должного значения тренингам по цифровой грамотности по нескольким причинам.

  • Во-первых, они могут недооценивать важность обучения. Одним кажется, что проще и дешевле просто запретить все и вся. Другие придерживаются мнения, что всем, что касается ИТ, должны заниматься специалисты по ИТ и кибербезопасности, и что это не касается сотрудников других департаментов.
  • Во-вторых, многие недооценивают, насколько серьезными могут быть последствия незнания основ кибербезопасного поведения, несоблюдения правил (даже таких простых, как не обновленное вовремя ПО), какое влияние они могут оказать на прибыль и репутацию компании, слаженность ее бизнес-процессов.
  • В-третьих, предлагаемые вендорами обучающие платформы часто сложно настраивать, а чтобы обучить администраторов, требуется много времени. Небольшие компании не могут себе этого позволить.
  • В-четвёртых, многих отпугивает стоимость обучающих программ.

Но в конечном итоге основная причина всё же та, что многие руководители компаний и собственники бизнеса пока ещё не осознали, что ключевую роль в атаках играет человеческий фактор и что часто они становятся возможными именно потому, что сотрудникам не хватило знаний и компетенций увидеть и распознать киберугрозу. Как только для них станет очевидной причинно-следственная связь между недостатком цифровой грамотности у сотрудников и ущербом для бизнеса, спрос на тренинги по информационной безопасности ещё возрастёт».

Сергей Золотухин, специалист Group-IB по информационной безопасности:

«На современном рынке действуют две разнонаправленные тенденции.  С одной стороны, мы, действительно, наблюдаем рост числа запросов на программы SA, с другой стороны – меняется характер требований к таким программам.  На рынке появляется разочарование, связанное с результативностью мероприятий по SA.

Последние два-три года был фокус на использование онлайн-платформ обучения, зачастую в ущерб методологической составляющей и качеству контента. Сложившаяся практика прохождения курсов SA «для галочки» и «по разнарядке» приводит к низкой эффективности использования таких платформ.  Сотрудник может просмотреть все уроки с примерами, правильно поставить галочки в вопросах теста, но это не сформирует у него знаний и навыков практического применения. 

Без сомнения, LMS (Learning Management System) – удобный и эффективный инструмент для массового донесения контента, но без практики и мотивации сотрудников он работает вполсилы. Можно выучить наизусть инструкцию, посмотреть десятки видео о том, как забивать гвозди, но пока человек на практике не возьмет в руки молоток и гвоздь, эффективность теоретических знаний будет нулевая. Применительно к SA это означает, что в дополнение к персональным видеоурокам, которые построены на реальных практических кейсах, необходимо мотивировать сотрудников применять знания на практике. Мы в своей практике используем комбинацию онлайн-курсов и мастер-классов, на которых слушатели работают с тренером вживую и получают ответы на вопросы, которые возникли в процессе индивидуального прохождения онлайн-курса. 

Отдельная задача для создателей курсов на онлайн платформах – обновление информации. К сожалению, ситуация меняется так быстро, что актуальность информации теряется чуть ли не в момент публикации ее на платформе. Курсы, на которых говорят о том, что пароль должен быть длинным, что нельзя открывать файлы из вложений, сегодня выглядят как унылая архаика.

Простое «натаскивание» сотрудников на распознавание спама и конкретных схем фишинга должно остаться в прошлом. Более актуальны для современных курсов по SA темы двухфакторной аутентификации, использования менеджеров паролей, понимание технологий и современных инструментов фишинговых атак и т.д.

Вектор развития программ SA – формирование у сотрудников модели безопасного поведения в цифровом мире, навыков раздельного контроля рабочего и личного пространства, а в перспективе – способность оценивать ситуацию в категориях персонального периметра безопасности цифровой личности».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Чтобы внедрять SA, бизнес должен понимать, что есть проблема. В компании должен быть определенный уровень зрелости ИБ и ресурсы. CISO понимает, что решение Security Awareness необходимо, но как это объяснить бизнесу? Нам нужно купить сервис SA, потому что наши средства безопасности, которые стоят как небольшой Боинг, не справляются?

Уровень зрелости компании – это наличие процессов, компетенций и людей. Минимально возможный awareness – это принудительная смена пароля от учетной записи каждые несколько месяцев и принудительная блокировка экрана в течение 10 минут бездействия. Ресурсы SA – это процесс. Чтобы он работал, нужны люди для мониторинга, контроля, улучшения и т.д. И не случайные люди, а ИБ-специалисты, которых, кстати, на рынке труда очень мало».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«Многие согласны с важностью повышения киберграмотности, но не все понимают важность того, что это нужно делать регулярно и контролировать процесс обучения. Например, я знаю немало кейсов, когда в компаниях проводится обучение своими силами, то есть специалист по информационной безопасности читает некий курс «для всех», а потом проводится тестирование. Однако разовое обучение не дает должного эффекта, к тому же в общем тесте можно «списать» ответы, ну и, наконец, теория должна идти в связке с практикой, только так можно зафиксировать полученные знания.

Еще знаю случаи, когда в компаниях останавливаются только на практике – например, проводят тестовые фишинговые рассылки. Однако этого тоже не всегда достаточно, новые угрозы и разновидности атак появляются каждый день, поэтому с использованием специализированных платформ это гораздо эффективнее — вендоры ведут свои базы данных и обновляют платформы новыми курсами и пр.».

С какими проблемами сталкиваются компании при внедрении SA? Как их решить?

Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»:

«Основных проблем всего две. Первая — внедрение Security Аwareness как полноценный бизнес-процесса.

Существуют как международные стандарты (ISO/IEC 27001:2013, PCI DSS, SWIFT Security), так и российские законодательные акты (Федеральный закон РФ № 152-ФЗ, приказы ФСТЭК России, ряд ГОСТов, стандартов и положений Банка России), обязывающие руководство компаний повышать осведомленность сотрудников в сфере ИБ. На практике требования регуляторов сталкиваются с недостатком бюджета, отсутствием нужных технических средств, непониманием того, как грамотно выстроить обучающий процесс и сформировать систему мотивации. Ситуацию спасает привлечение внутренних или внешних специалистов по обучению. Они помогают сегментировать целевую аудиторию, подобрать теорию и практику для каждой целевой группы и «уложить» ее в адекватные целям обучения форматы.

Вторая проблема как раз связана с форматами. Большинство российских компаний по старинке проводит очные инструктажи для новичков, иногда дополняя их почтовыми рассылками с выдержками из корпоративных регламентов. Между тем в сфере обучения за последние 10–15 лет сложились несколько трендов, которым очень желательно следовать.

Очное обучение быстро уступает место обучению дистанционному. Это менее затратно: электронные материалы разрабатываются один раз и дальше используются сколько угодно для обучения любого количества сотрудников. Это удобно: интерактивные курсы, видеоролики и почтовые рассылки можно просматривать на рабочем компьютере в любое время, без выезда в лекторий. Наконец, это дает возможность реализовать уже упомянутые тренды.

Начать разговор о трендах стоит с персонализации — разработки материалов с учетом потребностей целевой аудитории. Персонализации можно достигнуть за счет подбора разных форматов или использования вариантов одного формата — например, создавая несколько траекторий прохождения электронного курса, давая возможность выбрать сложность практических заданий или повторить пройденный материал.

Следующий тренд – геймификация. Она активно используется в электронных курсах и предполагает добавление персонажей, сюжета, анимации. Задания в геймифицированных курсах постепенно усложняются, а за их успешное прохождение выдаются награды. Главное здесь — совместить приятное с полезным именно в той пропорции, которая даст максимальный обучающий эффект.

Последнее, о чем нужно помнить, — микрообучение. Этот тренд обязан своим существованием клиповому мышлению современной аудитории. Он предполагает подачу теории небольшими блоками и закрепление каждого блока практикой. Например, после пяти-шести слайдов курса обучающийся отвечает на тестовый вопрос или выполняет простое упражнение. Или смотрит серию видеороликов длиной две минуты вместо одного шестиминутного ролика. Впрочем, дробить обучение до бесконечности не стоит: так легко потерять и логику повествования, и интерес аудитории».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«ТОП-3 наиболее часто встречающихся проблем:

  • Профанация. Все знают, как в офисе проходит инструктаж по технике безопасности и пожарной безопасности? Примерно такая же судьба ожидает и SA.
  • Мнение, что все эти ИБ-правила лишь мешают работе. Поэтому сотрудники ищут способы обойти запреты, контроли и «обмануть систему».
  • Отсутствие периодического контроля усвоения материала и последствий за действия, которые потенциально могли привести к запуску шифровальщика».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«Частая проблема при внедрении Security Awareness – это сложность мотивации сотрудников к обучению. Есть базовый вариант решения проблемы — сделать прохождение курсов обязательным, однако этого недостаточно, важно заинтересовать пользователей и поддерживать этот интерес.

Например, для этого можно использовать геймификацию или систему поощрений, регулярно спрашивать обратную связь. Если выявляется группа сотрудников, которые трудно поддаются обучению, их можно выделить в отдельную группу с повышенной безопасностью и минимизировать риски, которые могут через этих людей быть реализованы.

Также проблемы могут быть из-за того, что курсы не подстроены под пользователей, например, в зависимости от должностных обязанностей, уровня доступа к критичной информации и пр. Не стоит перегружать сотрудников знаниями, это может мешать работе и вызывать справедливый негатив. Эффективный процесс повышения киберграмотности должен быть основан на выстроенной программе обучения под разные группы пользователей».

С чего нужно начать процесс внедрения SA?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

«Внедрение необходимо начать с определения уровня осведомленности в компании, выявить пробелы, понять самые слабые места. В идеале сначала нужно оценить текущий уровень знаний сотрудников с помощью специальных инструментов.

Также можно провести симулированную фишинговую атаку. Это поможет понять, насколько хорошо сотрудники умеют распознавать уловки злоумышленников. Дальше станет понятно, кого из сотрудников, чему и в каком объеме необходимо учить, на какие темы необходимо сделать упор и т.п. Кроме того, впоследствии будет проще контролировать эффективность обучения, можно будет сравнивать результаты до начала обучения, во время и после».

Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»:

«Главное в любом обучении — понимать, кого и для чего вы учите. Поэтому начинать следует с целевой аудитории. Разделите сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а для разработчиков это один из главных аспектов ИБ.

Еще одна хорошая практика — проверить уровень знаний сотрудников до начала обучения. Проще всего провести тестирование и разослать учебные фишинговые письма, имитирующие настоящие вредоносные послания. Собрав статистику, вы поймете, на каких темах нужно сделать основной акцент.

Когда темы определены, подумайте о форматах обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников front-офиса не так много свободного времени, а иногда нет и личного рабочего компьютера. Им подойдут короткие видеоролики и яркие плакаты, которые можно демонстрировать и размещать в кабинетах и комнатах отдыха. Сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы с включенной проверкой знаний и периодические почтовые рассылки. Ни симуляторы бизнес-процессов, ни многопользовательские игры, ни быстро набирающие популярность VR-кейсы недостаточно хороши для того, чтобы назначать их всем сотрудникам сразу.

Запуск некоторых форматов требует установки специальных технических решений. Так, электронные курсы нужно загружать в систему дистанционного обучения (СДО или LMS). Наиболее популярные решения на отечественном рынке — WebTutor, iSpring, Moodle, Eduson, Mirapolis. Есть и специализированные платформы с модулями учебных фишинговых рассылок. С другими форматами — видеороликами, играми и почтовыми рассылками — все проще: для их внедрения достаточно корпоративного портала и рабочей почты».

Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft:

Security Awareness. Повышаем осведомленность в области ИБ
Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft

«Начинать нужно с осмысления ИБ не как регулятора и карательного органа в организации, а как подразделения, поощряющего «Цифровую гигиену» и вовлекающего сотрудников в обучение как элемент коллективной безопасности».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«В первую очередь надо выбрать подходящую платформу автоматизации обучения. Это можно сделать, начав с бесплатного пилота или демо-доступа, который предоставляют многие вендоры. Это позволит оценить удобство интерфейса и администрирования, определиться с набором необходимых курсов и доработок.

Во-вторых, как я уже говорил, нужна корректировка курсов под разные группы сотрудников, например, в зависимости от должности и уровня доступа к информации.

Третьим шагом нужно продумать методику оценки эффективности обучения – как и через какое время мы поймем эффективно ли обучение. В числе показателей эффективности может быть время, затрачиваемое сотрудниками на обучение, результаты прохождения имитированных фишинговых атак, количество инцидентов в ИБ-системах «до» и «после».

И в-четвертых, будет нелишним сразу составить план вовлечения аудитории в процесс обучения. Среди таких активностей могут быть обучающие семинары по разным группам, FAQ, варианты премирования «отличников», элементы геймификации и пр.».

Как контролировать эффективность SA после внедрения?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

«Проще всего контролировать эффективность с помощью тех же симулированных фишинговых атак, оценок и тестов, сравнивая результат до начала обучения и после. Существуют инструменты оценки, которые помимо определения правильности или неправильности ответа еще определяют степень уверенности сотрудника в своем ответе. В идеале нужно, чтобы ответ был не просто правильным, но и уверенность в ответе была максимальной.

Кроме того, об эффективности обучения можно судить по данным из внутренних систем: своевременно ли сотрудники обновляют ПО, не скачивают ли сторонние приложения и т.п. Ещё одним показателем будет снижение количества инцидентов, число срабатываний антивирусного ПО».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Единственно возможный вариант – периодическое автоматизированное тестирование персонала. Уменьшение количества сотрудников, которые прошли по фишинговым ссылкам или попытались открыть вложения в подозрительных письмах (идеально, если сотрудник оповестит службу ИБ), показывает, насколько эффективен процесс SA».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«Для контроля эффективности внедрения как раз и разрабатывается методика оценки эффективности. В каждом конкретном случае она будет своя, в зависимости от целей и особенностей заказчика. Для примера, одной из целей нашего проекта по внедрению системы повышения киберграмотности в ФосАгро было снижение числа инцидентов в системах безопасности.

Также распространенным вариантом контроля является сравнение результатов фишинговой проверки сотрудников на старте с результатами прохождения обучения. После первого круга обучения можно сравнивать изменения за период в сравнении с предыдущим периодом, например, год от года или квартал к кварталу. Другими словами, на старте проводится проверочная фишинговая атака, смотрится по группам — сколько людей перешли, и эти данные учитывают как стартовые для оценки эффективности обучения».

Юлия Астрахан, эксперт направления Jet CyberCamp Awareness компании «Инфосистемы Джет»:

«Здесь основная роль принадлежит практическим заданиям в рамках электронных курсов. Чаще всего это тестирования, упражнения, кейсы, тренажеры, бизнес-симуляторы, направленные на отработку четкой последовательности действий. После загрузки курсов в СДО статистика каждого прохождения передается на платформу.

Сделать практику максимально полезной помогает создание и обновление банков вопросов и упражнений. Например, тестирование может состоять из 100 вопросов, но при прохождении курса сотруднику будут показываться только 20 из них. При повторном прохождении — а периодичность обучения тоже важна — вопросы будут другими. И напомним, что курсы вообще следует «содержать» в актуальном состоянии — удалять устаревшую информацию, дополнять в связи с новыми требованиями регуляторов и изменением корпоративных регламентов.

Возвращаясь к учебному фишингу, стоит отметить, что он идеально подходит для периодической проверки знаний сотрудников. Письма направляются выборочно, по разным сценариям, в разных шаблонах — и идут в тесной связке с основными обучающими материалами. Например, если сотрудник открыл скомпилированное фишинговое письмо, его можно повторно направить на изучение курса, посвященного социальной инженерии. Также желательно контролировать, как часто «жертвы» учебного фишинга сообщают об атаках в службу ИБ.

Контроль эффективности обучения включает и контроль разработанной системы мотивации сотрудников. Допустим, вы внедрили сразу несколько мотивирующих элементов: рейтинг на корпоративном портале, премирование за успешное прохождение курсов, скидки на корпоративную продукцию за наибольшее количество достижений. Если вы видите, что что-то из этого не работает — заменяйте элемент новым. Просто убирать его не стоит: помните, что обучение становится вдвойне приятным, когда свои результаты можно сравнить с результатами других сотрудников, а в идеале — увидеть в реальной жизни.

Если темы обучения были более узкими, например, касались расследования и противодействия инцидентам ИБ, ─ полезно направлять сотрудников на практические конференции. Там они могут не только показать знания, полученные внутри компании, но и развить новые навыки. Рынок ИБ предлагает большое разнообразие подобных мероприятий. В частности, в этом году в сентябре будет онлайн-конференция и кибертренинг CyberCamp 2022. Можно послушать лекции экспертов и практиков рынка кибербезопасности, и на три дня погрузится в тему отражения атак, выполняя практические задания, помещенные в имитацию ИТ-ландшафта».

Существует ли нормативная база относительно SA? Насколько она эффективна?

Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness:

«Да, существует. В России она несколько беднее, чем в Европе и США, и в основном представлена в виде требований. В российских нормативах детально не прописано, как и что нужно делать, что подразумевается под «ознакомлением сотрудников» или повышением осведомленности. Поэтому нередко обучение проходит весьма формально и заканчивается выдачей памятки по кибербезопасному поведению и росписью в журнале.

Тем не менее подвижки в этой области тоже есть, особенно в части требований к безопасности АСУ ТП (автоматизированным системам управления производственными и технологическими процессами), объектов критической инфраструктуры, финансовых операций, где в документах указано, что должно проводиться повышение осведомленности и обучение работников в области информационной безопасности.

Но и в таких отраслях зачастую сотруднику при приеме на работу просто предлагается ознакомиться с кучей документации: инструкциями, памятками и т.п. Таким образом, текущую нормативную базу в России нельзя назвать эффективной, она требует значительных усовершенствований».

Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft:

«Требования или рекомендации присутствуют как минимум в следующих ФЗ и нормативно-правовых актах: ПДн (ФЗ №152), КИИ (ФЗ №187), Требования Банка России (ЦБ и ГОСТ 57580)».

Какие инструменты, практики, сервисы и СЗИ нужно использовать при внедрении SA?

Сергей Игнатов, директор по развитию продуктовых направлений компании Axoft:

«Важными элементами концепции Security Awareness являются:

  • Системы для организации обучения и контроля знаний сотрудников LMS – системы управления обучением (Learning management system, E-learning, ED-Tech).
  • Системы, анализирующие поведение пользователей и предупреждающие о потенциально опасном поведении: UEBA – поведенческий анализ пользователей и объектов (UBA, User and Entity Behavior Analytics).
  • Интеграция этих и других систем ИБ через специализированные решения для оценки эффективности обучения сотрудников и внедрения корректирующих мер.

ИБ-системы, осуществляющие контроль доступа к важной информации, предупреждение её утечки и расследования подобных утечек вместе с оценкой поведения пользователей позволяют снизить ИБ-риски от действий сотрудников:  

  • DCAP – аудит и управление информационными активами (Data-Centric Audit and Protection, DAG, Data Access Governance).
  • DLP – предотвращение утечки данных (Data Leak Prevention).
  • IRM / EDRM – управление правами доступа к корпоративным данным (Enterprise Digital Rights Management).

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов компании iTPROTECT:

«Для обучения основам киберграмотности в корпоративной среде существуют специальные платформы — Security Awareness Platform. В России есть несколько систем от таких вендоров как Антифишинг, Лаборатория Касперского, Phishman и др.

В вендорских платформах есть обучающие онлайн-курсы, их можно использовать как есть или дополнять собственными, плюс распределять по группам сотрудников и персонифицировать. Кроме того, платформы имеют встроенные модули для имитации фишинговых атак. Все вендорские платформы при желании можно интегрировать с системами обучения заказчика для оценки эффективности прохождения курсов в единой информационной среде.

Также будет нелишним интегрировать платформу с другими средства защиты, например, антивирусом, NGFW SIEM, DLP. Это позволит отслеживать результативность обучения в зависимости от выявленных ИБ-событий и минимизировать число повторных инцидентов. Например, если Иван Иванов перешел по фишинговой ссылке или вставил флешку с вирусом, то ИБ-инспектор это может отследить и назначить ему дополнительный курс киберграмотности».

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.